Kebocoran Data UH Cancer Center Berdampak pada Hampir 1,2 Juta Orang

University of Hawaii mengonfirmasi bahwa hampir 1,2 juta individu terdampak kebocoran data setelah kelompok ransomware membobol Divisi Epidemiologi di University of Hawaii Cancer Center pada Agustus 2025.

Insiden ini menargetkan sistem penelitian dan tidak berdampak pada operasi uji klinis, perawatan pasien, maupun catatan mahasiswa.

Data Penelitian dan SSN Terekspos

Pada 23 Februari, UH Cancer Center mengirimkan surat pemberitahuan kepada lebih dari 87.000 peserta Multiethnic Cohort (MEC) Study yang terdaftar antara 1993 hingga 1996. Selain itu, universitas juga mulai memberi tahu individu lain yang kemungkinan terdampak, termasuk sekitar 900.000 alamat email yang ditemukan dalam sistem.

Dalam pemberitahuan resminya, universitas menyatakan bahwa total 87.493 peserta studi MEC berpotensi terdampak. Sementara itu, data tambahan dari catatan historis seperti SIM dan daftar pemilih yang memuat nomor Jaminan Sosial (SSN) diperkirakan mencakup sekitar 1,15 juta individu.

Dokumen yang terkompromi meliputi:

• Dua file berisi nama dan SSN dari dokumen Departemen Transportasi (dikumpulkan tahun 2000) dan data pendaftaran pemilih (1998).
• File yang memuat SSN, nomor SIM, serta informasi kesehatan peserta MEC (1993–1996).
• Data dari tiga studi diet dan kanker lainnya.
• Dua file tambahan dari 1999 dan pertengahan 2000-an yang berisi nama dan SSN dari registri kesehatan publik untuk penelitian epidemiologi.

Serangan Terisolasi di Divisi Epidemiologi

Dalam laporan kepada legislatif negara bagian pada Desember lalu, universitas menjelaskan bahwa serangan tersebut terbatas pada satu proyek penelitian dan hanya memengaruhi sistem yang mendukung Divisi Epidemiologi.

Investigasi lanjutan menunjukkan bahwa penyerang mengakses file penelitian dan kemungkinan mencuri data sensitif seperti SSN dan nomor SIM. Selain itu, pelaku juga mengenkripsi sistem yang terkompromi, menyebabkan kerusakan signifikan dan memperlambat proses pemulihan.

Universitas Bayar Tebusan

Saat pertama kali mengonfirmasi insiden, University of Hawaii mengungkapkan bahwa mereka membayar pelaku untuk memperoleh alat dekripsi dan memastikan “penghancuran aman” data yang diperoleh secara ilegal. Langkah tersebut diklaim bertujuan melindungi individu yang datanya mungkin terdampak.

Direktur UH Cancer Center, Naoto T. Ueno, menyatakan penyesalan mendalam atas insiden ini dan menegaskan komitmen terhadap transparansi, akuntabilitas, serta penguatan perlindungan data penelitian.

Riwayat Insiden Sebelumnya

Kasus ini bukan pertama kalinya institusi di bawah sistem University of Hawaii terdampak ransomware. Pada Juli 2023, Hawaiʻi Community College—bagian dari sistem universitas yang sama—juga mengonfirmasi pembayaran tebusan untuk mencegah kebocoran data sekitar 28.000 individu.

Insiden terbaru ini menegaskan tingginya risiko terhadap lembaga penelitian dan pendidikan tinggi yang menyimpan data sensitif dalam jumlah besar, termasuk informasi identitas pribadi yang dikumpulkan selama puluhan tahun.